すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CompTIA CASP+認定試験対策問題集|SPOTO

SPOTO の模擬問題集を含む総合的なリソースで CompTIA CASP+ 認定試験の準備を完璧にしましょう!弊社が厳選した模擬試験とサンプル問題集は、あなたがCAS-003試験で必要とされる重要なトピックを習得するのに役立ちます。弊社の試験問題集を利用して、あなたの理解を強化し、試験形式に慣れましょう。弊社の模擬試験を使って、実際の試験のシナリオをシミュレートして、自信を強化しましょう。SPOTOの専門的な試験参考書と解答で、あなたは試験日に素晴らしい成績を収める準備を完全にします。あなたのCompTIA CASP+認定資格取得への道のりに合わせた最も効果的な試験準備資料と試験戦略を提供いたします。あなたのCompTIA CASP+認定資格取得の目標達成に向けて、今すぐ準備を始めましょう!
他のオンライン試験を受ける
質問 #1
脅威に関する注意喚起がITセキュリティ担当者に電子メールで送られた。この警告は、権限のない人物がシステム上のファイルにリモートでアクセスできるようにする、特定のタイプのホスト・オペレーティング・システムについて言及しています。最近、修正プログラムが公開されましたが、修正プログラムを実行する前に、最新のエンドポイント保護エンジンをインストールする必要があります。システムを確実に保護するために設定する必要があるのは、次のうちどれでしょうか。(2つ選んでください)
A. アンチウイルス
B. ヒップス
C. アプリケーションのホワイトリスト化
D. パッチ管理
E. グループポリシーの実装
F. ファームウェアの更新
回答を見る
正解: AD
質問 #2
あるセキュリティ・アーキテクトが、新規プロジェクトに最適なソリューショ ンを決定している。このプロジェクトは、システムへの初日アクセスを合理化するために、高度な認証機能、 ユーザの SSO、自動プロビジョニングを備えた新しいイントラネットを開発するものである。セキュリティアーキテクトは、以下の要件を特定した: 1.情報は、信頼できるマスター・データ・ソースから取得する。 2.デバイスとユーザーの身元を証明するための将来的な要件が必要である。 3.再利用可能な汎用 ID コネクタが必要である。
A. LDAP、多要素認証、OAuth、XACML
B. AD、証明書ベース認証、Kerberos、SPML
C. SAML、コンテキスト対応認証、OAuth、WAYF
D. NAC、radius、802
回答を見る
正解: B
質問 #3
ある組織のネットワーク・エンジニアリング・チームが、静止データの機密性を確保するために、新しいソフトウェア暗号化ソリューションを最近導入したところ、ストレージ内のデータの読み書き要求に300ミリ秒の待ち時間が発生し、業務に影響を与えることが判明した。次の代替アプローチのうち、意図したセキュリティ目標を満たしながら、パフォーマンス要件に対処するのに最適なものはどれでしょうか?
A. ハードウェアFDEまたはSEDソリューションを採用する。
B. より効率的な暗号ハッシュ関数を利用する。
C. HDDをSSDアレイに置き換える。
D. FIFOパイプをマルチスレッドソフトウェアソリューションに使用する。
回答を見る
正解: A
質問 #4
以下のコード・スニペットが与えられています: 次のうち、最も懸念される脆弱性のタイプはどれですか?
A. 短いユーザー名しかサポートされていないため、認証情報の総当たりを引き起こす可能性があります。
B. username パラメータにバッファオーバーフローがあり、メモリ破壊の脆弱性があります。
C. ハードコードされたユーザー名は、入力されたユーザーによって異なるコードパスを取る。
D. フォーマット文字列の脆弱性は管理者ユーザーには存在するが、標準ユーザーには存在しない。
回答を見る
正解: B
質問 #5
ある企業のエンジニアは、ある種のデータを競合他社から守るべきだと考えているが、データ所有者はその情報は機密情報ではないと主張している。ある情報セキュリティ・エンジニアは、企業のSANを保護するための対策を実施している。その管理では、データを「機微ではない」「機微だがアクセス可能」「機微だが輸出規制されている」「非常に機微」の4つのグループに分ける必要がある。このエンジニアがデータに関して取るべき行動はどれか。
A. データに極秘のラベルを貼る。
B. データに機密だがアクセス可能というラベルを付ける。
C. データを非機密データとしてラベル付けする。
D. 機密データであるが輸出規制されていることを示すラベルを貼る。
回答を見る
正解: C
質問 #6
あるネットワークエンジニアが、企業ネットワークのVPNサービスに耐障害性を設計しようとしています。このエンジニアが、VPNの実装に対して悪用されるゼロデイ脆弱性に対する弾力性をある程度確保したい場合、この目的を最もよくサポートする決定はどれか。
A. 組織の SOC が防御・監視し、管理者にほぼリアルタイムで警告を発する VPN トラフィック用のリバースプロキシ を導入する。
B. 企業の VPN コンセントレータ・プールに対する高度な DDoS 攻撃のミティゲーションをサポートできるマネージド・サービス・プロバイダに加入する。
C. VPN コンセントレータを物理的に異なるサイトにある複数のシステムに分散させ、プライマリサイトが失われた場合でもバックアップサービスが利用できるようにする。
D. もう一つのVPNレイヤの暗号実装が別のベンダーから提供されている場合、第二のVPNレイヤを同時に採用する。
回答を見る
正解: D
質問 #7
内部脅威による情報漏えいが発生し、顧客の個人情報が漏洩した。情報漏えいの後、主任セキュリティアナリストは、攻撃者が会社のリソースにアクセスするためにどの脆弱性を使用したかを特定するよう求められます。アナリストは、次のうちどれを使用して脆弱性を修復すべきか?
A. プロトコルアナライザー
B. 根本原因分析
C. 行動分析学
D. データ漏洩防止
回答を見る
正解: D
質問 #8
ある会社が、顧客向け Web ポータルの侵入テストを実施するために、セキュリティエンジニアと契約しました。次の活動のうち、最も適切なものはどれか。
A. サイトに対してプロトコルアナライザを使用し、データ入力がブラウザから再生できるかどうかを確認する。
B. 傍受プロキシを通してウェブサイトをスキャンし、コードインジェクションの箇所を特定する。
C. ポートスキャナーでサイトをスキャンし、ウェブサーバーで実行されている脆弱なサービスを特定する。
D. ネットワーク列挙ツールを使用して、サーバーがロードバランサーの後ろで動作しているかどうかを確認する。
回答を見る
正解: C
質問 #9
マーケティング部門は、ソーシャルメディアへの大規模な働きかけを含む新しいマーケティング・キャンペーンを展開した。このキャンペーンには、従業員や顧客が会社での日々の体験をブログ記事や写真で投稿できるようにすることも含まれている。情報セキュリティマネジャーは、セキュリティリスクと、プライバシーや業務上のセキュリティ問題を回避する方法について、参加者全員に情報提供するよう依頼された。この文書で言及すべき最も重要な情報はどれか。
A. 過去の事件の事後報告。
B. ソーシャル・エンジニアリング技術
C. 会社の方針と従業員のNDA
D. データ分類プロセス
回答を見る
正解: C
質問 #10
Company.orgは、主要なサイバー地形に関するブラックボックス・セキュリティ評価の実施を要請した。懸念事項の一つは、会社のSMTPサービスである。セキュリティ評価者は、追加措置を取る前に偵察を実行したいと考えており、どのSMTPサーバーがインターネットに面しているかを判断したいと考えている。この情報を決定するために評価者が使用すべきコマンドはどれか。
A. dnsrecon -d company
B. dig company
C. nc -v company
D. whois company
回答を見る
正解: A
質問 #11
ある組織は、以下の管理マトリックスを確立した: 以下の管理セットは組織によって定義され、集合的に適用される:PIIを含むシステムは、最小限の管理セットで保護される。医療データを含むシステムは、中程度のレベルで保護される。カード会員データを含むシステムは高レベルで保護されている。組織は、顧客からの PII および医療データを含むデータベースの機密性を保護するシステ ムの導入を準備している。
A. サーバールームへの近接カードアクセス、コンテキストベースの認証、UPS、データベースサーバーのフルディスク暗号化。
B. サーバールームのドアの暗号ロック、FDE、サージプロテクター、すべてのアプリケーションコードの静的解析。
C. すべてのアプリケーション変更のピアレビュー、アプリケーションコードの静的解析、UPS、および完全なシステムの侵入テスト。
D. 侵入検知機能、ネットワークベースのIPS、ジェネレータ、コンテキストベースの認証。
回答を見る
正解: A
質問 #12
ある支社で最近行われたCRMのアップグレードは、所定の期限を過ぎて完了した。アップグレード中にいくつかの技術的な問題が発見され、次の支社がアップグレードされる前に詳細な検討を行う必要があります。次のうち、脆弱なプロセスやその他の脆弱性を特定するために使用すべきものはどれですか?
A. ギャップ分析
B. ベンチマークとベースライン結果
C. リスク評価
D. 教訓レポート
回答を見る
正解: D
質問 #13
ある組織のセキュリティ・ポリシーでは、企業全体でUSBドライブを使用することを禁止しており、USBドライブをブロックするための適切な技術的コントロールが実施されています。さまざまな場所から、さまざまなコンピューティング・リソースで仕事をするための方法として、営業スタッフ数名が、IT部門の同意なしにウェブベースのストレージ・ソリューションにサインアップしました。しかし、オペレーション部門は、特定のビジネス・パートナーのドキュメントを送信するために、同じサービスを使用する必要がある。W
A. AAAを有効にする
B. CASBの導入
C. NGFWの構成
D. WAFのインストール
E. vTPMの利用
回答を見る
正解: B
質問 #14
あるセキュリティ研究者が、多国籍銀行に対する標的型攻撃が最近急増しているとの情報を集めている。この急増は、銀行に対するすでに持続的な攻撃に加えられたものである。これまでの攻撃の中には、機密データの喪失につながったものもあるが、今のところ、攻撃者は資金の窃取には成功していない。リサーチャーが入手可能な情報に基づき、最も可能性の高い脅威プロファイルは次のうちどれですか?
A. 戦略的利益を得るためにスパイ活動を行う、国家に支援された攻撃者。
B. 不正な目的で資金へのアクセスを得ようとするインサイダー。
C. 私利私欲のために悪評と名声を求める好機主義者。
D. 社会経済的要因から政治的主張をしようとするハクティビスト。
回答を見る
正解: D
質問 #15
合併に伴い、ある企業のリモートサイトの数は52に倍増した。同社は、ウェブフィルタリング、NIDS/NIPS、ネットワークアンチウイルスを提供するために、各リモートサイトを NGFW で保護することを決定した。最高情報責任者(CIO)は、セキュリティエンジニアに、ファイアウォールのサイジングに関する推奨事項を提 示するよう要請した。以下の表は、リモートサイトのサブセットとファイアウォールのオプションに関する情報です: どのサイト
A. 小規模な遠隔サイトにはベンダーC、大規模サイトにはベンダーB。
B. 全リモートサイトのベンダーB
C. 全リモート・サイトのベンダーC
D. すべてのリモートサイトのベンダーA
E. 全リモートサイトのベンダーD
回答を見る
正解: D
質問 #16
セキュリティ評価の間、活動は内部と外部の2つのフェーズに分けられた。セキュリティ評価チームは、企業境界内の侵害されたボックスに移動する前に、外部活動に対して厳しい時間制限を設定した。評価チームが次に採用する可能性が最も高い方法はどれか。
A. 侵害された場所から企業内を横方向に移動し、データの流出やデバイスの侵害を試みる。
B. 侵害されたボックスに物理的にアクセスすることを目的としたソーシャルエンジニアリング攻撃を試みる。
C. ソーシャルメディア偵察の前段階として、侵害されたボックスからネットワークスキャンを流出させる。
D. オープンソースの情報収集により、ネットワーク境界と範囲を特定し、さらなるシステム侵害を可能にする。
回答を見る
正解: A
質問 #17
法務部門は、会社のクラウドベースのワープロと電子メールシステムを行き来するすべてのトラフィックをログに記録することを要求している。この要件を満たすために、最高情報セキュリティ責任者(CISO)は、安全なトラフィックの検査を実行する次世代ファイアウォールを実装し、ログに記録されるすべてのトラフィックにクラウドベースのログ集約ソリューションを使用することにしました。このシナリオにおいて、ユーザーのプライバシーに対する長期的なリスクはどれでしょうか?
A. 機密文書や機密性の高い文書は、ログに記録される前にファイアウォールで検査される。
B. ビデオやその他のオンラインコンテンツを視聴する際の遅延が増加する可能性があります。
C. ファイアウォールから生成されるレポートは、検査されたトラフィックからより多くの情報が得られるため、生成に時間がかかります。
D. 保存されたログには、暗号化されていない個人ウェブサイトのユーザー名とパスワードが含まれている可能性があります。
回答を見る
正解: A
質問 #18
ある企業が、ヘルプデスクの利用可能時間を営業時間外に延長したいと考えている。最高情報責任者(CIO)は、電話に応答し、パスワードのリセットやリモートアシスタンスなどのTier 1問題解決を提供するサードパーティサービスでヘルプデスクを補強することを決定した。セキュリティ管理者が、次のファイアウォール変更を実施する: 管理者は、適切なパスと認証情報をサードパーティ企業に提供する。管理者は、サードパーティ企業に適切なパスと認証情報を提供します。
A. LDAP
B. ウェイフ
C. OpenID
D. RADIUS
E. SAML
回答を見る
正解: D
質問 #19
ある侵入テスト者が、データベースのテーブルに特殊文字があることに気づいた。侵入テスト者は、フロントエンドのユーザ登録ウェブフォームがユーザの年齢フィールドに無効な入力を受 け入れることを検証するために、HTTP インターセプターを使用するようにブラウザを設定した。開発者に通知し、問題を修正するよう依頼した。開発者が実装する最も安全な解決策はどれか。
A. if $age == "!@#$%^&*()_+<>?":{}[]"
B. if $age == [1234567890] {1,3} then continue
C. IF $AGE != "a-bA-Z!@#$%^&*()_+<>?":{}[]"次に続ける
D. if $age == [1-0] {0,2} then continue
回答を見る
正解: B
質問 #20
最高情報責任者(CISO)は、特権的なアクセス権を持つ特定のシステム管理者が、他のユーザーの電子メールを読んでいる可能性を懸念している。あるツールの出力を確認したところ、管理者がウェブメールを使用して他のユーザーの受信トレイにログインしていることがわかりました。このような出力を示すツールは次のうちどれでしょうか。
A. ログ解析ツール
B. パスワードクラッカー
C. コマンドラインツール
D. ファイル整合性監視ツール
回答を見る
正解: A
質問 #21
セキュリティエンジニアは、開発チームと連携して、開発中の製品にセキュリティが確実に組み込まれるようにする。セキュリティエンジニアは、特定のスケジュール時点で適用される多数のセキュリティ要件によって開発者が妨げられないようにしたいと考えている。 次の解決策のうち、このエンジニアの目標を最もよく満たすものはどれか。
A. 単体テストの結果を開発チーム全員で毎週レビューする。
B. B
C. ウォーターフォール型開発プロセスの要件定義フェーズにおいて、コードの品質と再利用の基準を強制する。
D. 開発者がコミットしたコードの各部分をビルドしてテストし、フィードバックを提供する統合ソフトウェアツールを導入する。
回答を見る
正解: C
質問 #22
最近発生した情報漏えいのため、最高経営責任者(CEO)は、インシデント対応計画策定中に以下の活動を実施するよう要請しました: ビジネスオーナーと利害関係者を参加させる 適用可能なシナリオを作成する インシデント対応計画の口頭レビューを年 2 回実施する 学んだ教訓と特定されたギャップについて報告する CEO が要求した演習は次のうちどれですか?
A. 並列運転
B. 完全移行
C. 内部審査
D. 卓上
E. 部分シミュレーション
回答を見る
正解: D
質問 #23
あるソフトウェア開発マネージャが、アジャイル開発手法を使ってプロジェクトを運営している。会社のサイバーセキュリティ・エンジニアは、このプロジェクトで多数の脆弱性が本番コードに混入していることに気づいた。問題の深刻度を軽減するために、統合開発環境に加えて使用できる方法は、次のうちどれですか?
A. 開発された各機能について、侵入テストを実施する。
B. 一般的なコーディングエラーの基本チェックセットを作成する。
C. ウォーターフォール型ソフトウェア開発手法の採用
D. 静的コードアナライザを組み込んだユニットテストを実装する。
回答を見る
正解: D
質問 #24
ある政府組織が複数のICS環境を運用・保守している。ICS 環境の 1 つを分類した結果、中程度の基準値が設定された。この組織は、この分類に基づいて適用可能なセキュリティ管理策をまとめた。この環境が特殊であることを踏まえ、他のセキュリティ対策を検討すべきかどうかを判断するために、組織が NEXT に行うべきことは次のうちどれか。
A. 必要なオーバーレイの有無を確認する。
B. 現在のコントロールセット内の強化を見直す。
C. ベースラインの高いコントロールセットに変更する。
D. 継続的なモニタリングを行う。
回答を見る
正解: C

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.